Ameaças de “internos de TI” fazem muitos departamentos de segurança de TI suarem frio. E com razão, pois já estão bem ancorados na TI corporativa. Eles, portanto, representam um risco particularmente alto após um comprometimento porque dificilmente podem ser detectados por mecanismos de segurança normais direcionados para fora.
Portanto, é difícil proteger totalmente contra ameaças internas usando meios tradicionais. Para se proteger contra ameaças internas e descobrir o que está acontecendo dentro da organização, as organizações precisam das estratégias e soluções técnicas certas que vão além dos métodos tradicionais de segurança de TI.
75% das violações de segurança por pessoas de dentro
Se você observar quais ameaças são bem-sucedidas e conseguem penetrar na TI de uma empresa, as ameaças internas não são de forma alguma um risco que deva ser negligenciado. Na verdade, de acordo com a equipe de pesquisa de risco da informação do Gartner, as ameaças internas são responsáveis por 50-70 por cento de todos os incidentes de segurança e, quando se trata especificamente de violações de segurança, os internos são responsáveis por três quartos deles.
As consequências podem ser graves: o Instituto Ponemon estima que as ameaças internas custam 8,76 milhões de dólares por ano e por empresa afetada. Isso até porque leva em média 280 dias para identificar e conter cada brecha – um cenário assustador para qualquer empresa.
As três principais formas de ameaças internas
O exemplo mais famoso de ameaça interna é certamente Edward Snowden.
Mas suas atividades, ainda que sejam as mais conhecidas, não são de forma alguma típicas dos cenários que a maioria das organizações enfrenta, principalmente no âmbito comercial. Na maioria dos casos, as ameaças internas assumem três formas principais: internos "acidentais", "comprometidos" ou "maliciosos".
1. Como o nome sugere, é o insider "malicioso" normalmente um funcionário ou contratado roubando informações. Edward Snowden é provavelmente o exemplo mais famoso disso, com muitos outros insiders mal-intencionados roubando informações não como denunciantes, mas para ganhos financeiros, como os ladrões de dados bancários suíços alguns anos atrás.
2. O insider "comprometido" é considerada por muitos como a forma mais problemática, já que tudo o que normalmente foi feito por essa pessoa é clicar inocentemente em um link ou digitar uma senha. Isso geralmente é o resultado de campanhas de phishing, nas quais os usuários recebem um link para um site de aparência autêntica, a fim de induzi-los a inserir credenciais ou outras informações confidenciais.
3. Não menos perigoso é o insider “acidental” ou “negligente”. Descobrir esses insiders pode ser particularmente desafiador, porque não importa o quanto as empresas e os funcionários sejam cuidadosos com a segurança cibernética, erros acontecem.
Opções de defesa tecnológica
Para evitar erros tão simples, mas no pior dos casos, de grande alcance, muitas organizações já estão usando cursos de treinamento intensivo para conscientizar seus funcionários nessa direção. Sem dúvida, alguns ataques internos acidentais e comprometidos podem ser evitados simplesmente treinando os usuários finais para reconhecer e evitar tentativas de phishing. Mas, além da educação, existem oportunidades tecnológicas que se concentram no comportamento do usuário para melhor proteção contra ameaças internas.
Análise de Comportamento de Usuários e Entidades (UEBA)
Aproveitar as soluções tradicionais de segurança cibernética voltadas para o exterior cria um ponto cego muito grande. Para enfrentar o desafio multifacetado das ameaças internas, as equipes de segurança precisam da infraestrutura e das ferramentas tecnológicas para ter uma visão completa de todas as ameaças, inclusive as internas. É aqui que entra a Análise de Comportamento de Usuário e Entidade (UEBA). Ao entender os comportamentos típicos, as equipes de segurança podem identificar mais facilmente quando ocorre um problema. As soluções correspondentes baseadas em IA e aprendizado de máquina já estão sendo usadas por muitas organizações para proteção efetiva e proativa.
Conclusão: estratégia proativa com análise
As organizações precisam de infraestrutura e ferramentas tecnológicas para ver o quadro completo das ameaças. Os SOCs modernos, portanto, usam a Análise de Comportamento de Usuário e Entidade (UEBA) em seus sistemas SIEM para se protegerem contra erros humanos, negligência e pessoas mal-intencionadas. Essa estratégia proativa, combinada com treinamento, pode reduzir drasticamente o ponto cego interno e identificar muitas ameaças internas com antecedência.
Saiba mais em Exabeam.com[asterisco=17]